DDoS阶梯调度最佳实践

购买DDoS原生防护-全力防基础版时选择开启联动防护后，通过配置DDoS阶梯调度策略，可以自动联动调度DDoS高防对DDoS原生防护-全力防基础版防护的云资源进行防护，防御海量攻击。

配置DDoS阶梯调度后，当发生海量攻击时，系统联动调度DDoS高防对DDoS原生高级防护对象中的华为云上云资源进行防护，业务流量经过DDoS高防转发。DDoS阶梯调度工作原理如图1所示。

当业务有正常访问/日常攻击时，DDoS原生高级防护提供DDoS攻击全力防护能力，在业务遭受DDoS攻击时，自动触发流量清洗。
当业务遭受海量流量攻击导致封堵时，DDoS阶梯调度自动调度高防CNAME，联动高防DDoS将恶意攻击流量引流到高防IP进行清洗，确保重要业务不被攻击中断。

图1 DDoS阶梯调度工作原理

本章节以网站类业务“www.example.com”域名为例，介绍如何配置DDoS阶梯调度。

约束条件

DDoS原生高级防护只能防护购买区域的公网IP资源，不能跨区域防护。
防护域名（www.example.com）部署在华为云上，且部署在支持购买DDoS原生高级防护实例的区域（例如，华北-北京四）。
防护域名（www.example.com）未接入WAF。

前提条件

已购买“DDoS原生高级防护”，且购买时选择开启联动防护。
已获取防护域名（www.example.com）的源站公网IP地址。
如果防护域名（www.example.com）未部署在“华东-上海一”区域，则防护域名所在区域已准备了备用公网IP地址。
已成功购买DDoS原生高级防护实例。
区域：选择防护域名（www.example.com）部署的区域（例如，华北-北京四）
已成功购买DDoS高防实例。

操作步骤

登录管理控制台。
添加防护对象。
1. 进入DDoS原生高级防护实例列表页面。
2. 在目标实例所在框的右上方，单击“设置防护对象”。
3. 在弹出的“设置防护对象”对话框中，勾选防护域名（www.example.com）的源站公网IP后，单击“确定”。
创建防护策略。
1. 进入DDoS原生高级防护的防护策略页面。
2. 在防护策略列表的左上方，单击“创建策略”。
3. 在弹出的“创建策略”对话框中，设置“策略名称”并选择所属实例后，单击“确定”。
在4中创建的防护策略所在行的“操作”列中，单击“配置策略”，配置防护策略。

有关配置防护策略的详细操作，请参见配置防护策略。
将防护域名（www.example.com）接入DDoS高防。
1. 进入DDoS高防域名列表入口。
2. 在域名列表左上角，单击“添加域名”。
3. 填写域名信息，如图2所示，单击“下一步”。
  图2 配置网站类域名信息
  “源站类型”选择“源站IP”，源站IP配置说明如下：
  - 如果防护域名部署在“华东-上海一”区域，源站IP配置为防护域名的源站公网IP地址。
  - 如果防护域名未部署在“华东-上海一”区域，源站IP需要配置为防护域名所在区域同一网段准备的备用公网IP地址。
4. 在高防实例名称列表中选择实例与线路后，单击“提交并继续”。
5. 单击“下一步”后，单击“完成”。
  防护域名接入DDoS高防，获取域名的CNAME值（12b6003fd3c2e618.huaweisafedns.com），如图3所示。
  图3 防护域名接入DDoS高防
配置阶梯调度规则。
1. 进入阶梯调度页面。
2. 在阶梯调度列表框左上角，单击“添加规则”。
3. 在弹出添加规则对话框中，配置调度规则后，单击“确定”。
  - 分组调度：选择DDoS原生防护对象中的云资源。
  - 高防CNAME：填写为5.e中的CNAME值。
  规则配置完成后，获取调度CNAME值，如图4所示。
  
  图4 获取调度CNAME值
参考添加CNAME类型记录集添加DNS解析。
- “主机记录”：配置的域名。
- “记录类型”：选择“CNAME-将域名指向另外一个域名”。
- “线路类型”：全网默认。
- “TTL(秒)”：一般建议设置为5分钟，TTL值越大，则DNS记录的同步和更新越慢。
- “值”：输入6.c中的CNAME值。
- 其他的设置保持不变。